Base de jurisprudence

Ariane Web: Conseil d'État 441621, lecture du 29 juillet 2021, ECLI:FR:CECHS:2021:441621.20210729

Décision n° 441621
29 juillet 2021
Conseil d'État

N° 441621
ECLI:FR:CECHS:2021:441621.20210729
Inédit au recueil Lebon
10ème chambre
Mme Dominique Agniau-Canel, rapporteur
M. Laurent Domingo, rapporteur public


Lecture du jeudi 29 juillet 2021
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu la procédure suivante :

Par une requête et un mémoire en réplique, enregistrés les 6 juillet 2020 et 6 juillet 2021 au secrétariat du contentieux du Conseil d'Etat, les associations Mousse, Stop Homophobie, ADHEOS et Familles-A... demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-767 du 23 juin 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé " Dossier pénal numérique " ;

2°) de surseoir à statuer et de poser à la Cour de justice de l'Union européenne la question préjudicielle suivante :

- " L'expression " en cas de nécessité absolue " doit-elle être interprétée en ce sens que les données sensibles ne peuvent être traitées que s'il est impossible d'atteindre la finalité poursuivie sans les traiter ' En d'autres termes, y a-t-il " nécessité absolue " uniquement s'il est impossible de poursuivre et sanctionner les infractions pénales sans réaliser le traitement de données sensibles '

- L'expression " sous réserve de garanties appropriées pour les droits et libertés de la personne concernée " doit-elle être interprétée en ce sens que le traitement de données sensibles ne peut être autorisé que si des garanties spécifiques et supplémentaires ont été prévues pour la mise en oeuvre du traitement ' " ;

3°) de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.



Vu les autres pièces du dossier ;

Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de procédure pénale ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2020-151 du 20 février 2020 ;
- le code de justice administrative ;



Après avoir entendu en séance publique :

- le rapport de Mme Dominique Agniau-Canel, maître des requêtes en service extraordinaire,

- les conclusions de M. Laurent Domingo, rapporteur public ;



Considérant ce qui suit :

1. Les associations Mousse, Stop Homophobie, Adheos et Familles A... demandent l'annulation pour excès de pouvoir du décret n° 2020-767 du 23 juin 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé " Dossier pénal numérique " ayant vocation à être mis en oeuvre dans chaque juridiction. Ce traitement vise à renforcer les moyens permettant une exploitation numérique des dossiers pénaux, à faciliter et à sécuriser la consultation du dossier par les personnes autorisées, sa transmission, sa conservation ou son archivage. Le décret insère dans le code de procédure pénale les articles R. 249-9 à R. 249-16, qui définissent, outre les finalités de ce traitement, la nature et la durée de conservation des données enregistrées, les catégories de personnes y ayant accès ainsi que celles qui en sont destinataires, et précise les modalités d'exercice des droits des personnes concernées.

Sur la compétence du Premier ministre :

2. L'article 89 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose : " (...) II.- Si le traitement porte sur des données mentionnées au I de l'article 6, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l'article 31. ". Aux termes du II de l'article 31 de la même loi : " Ceux des traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement ". Il résulte de ces dispositions que le moyen tiré de l'incompétence du pouvoir réglementaire pour autoriser le traitement décrit au point 1 ne peut qu'être écarté.

Sur la publication de l'avis de la Commission nationale de l'informatique et des libertés :

3. En vertu des dispositions du II de l'article 31 de la loi du 6 janvier 1978 : " Ceux des traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement ". Il ressort des pièces du dossier qu'ont été publiés au Journal officiel du 25 juin 2020 le décret attaqué et la délibération n° 2020-036 de la Commission nationale de l'informatique et des libertés en date du 12 mars 2020. Par suite, le moyen tiré de l'absence de publication de l'avis de cette commission manque, en tout état de cause, en fait.

Sur la légalité interne du décret attaqué :

4. Le traitement dénommé " Dossier pénal numérique " autorisé par le décret attaqué, qui vise à rassembler les données et informations collectées tout au long du processus judiciaire pénal et à fluidifier les échanges d'informations et l'accès aux dossiers pénaux, relève à ce titre des dispositions du titre III de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prises pour la transposition de la directive du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales. Il relève également des dispositions communes à l'ensemble des traitements de données à caractère personnel figurant au titre I de cette même loi, telles celles de l'article 4 aux termes desquelles : " Les données à caractère personnel doivent être : / 1° Traitées de manière loyale et licite (...) ; 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. (...) / 3° Adéquates, pertinentes et au regard des finalités pour lesquelles elles sont collectées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (...) ; / 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ". Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.

En ce qui concerne les finalités du traitement :

5. Aux termes de l'article R. 249-9 inséré dans le code de procédure pénale par l'article 1er du décret attaqué, le traitement automatisé de données à caractère personnel dénommé " Dossier pénal numérique " a pour finalités, d'une part, de faciliter et d'améliorer le traitement des dossiers pénaux par les magistrats, les greffiers et les personnes habilitées à les assister en permettant une étude personnalisée des dossiers de façon totalement numérique et le recours, pour la conduite de la procédure pénale, au dossier de procédure numérique ainsi qu'à la copie numérisée du dossier, au dossier unique de personnalité relatif aux mineurs et aux minutes dématérialisées, et, d'autre part, de fluidifier les échanges d'information et l'accès au dossier de procédure, au sein de la juridiction et entre juridictions ayant à connaître du dossier, avec les personnes concourant à la procédure, les avocats et les parties, ou avec toute administration, établissement, autorité ou personne publique ou privée, autorisé en vertu de dispositions législative ou réglementaire spécifiques, à se voir communiquer tout ou partie d'un dossier pénal ou d'une décision. Ces finalités, qui visent notamment à mettre à disposition des magistrats de manière dématérialisée des données recueillies dans le cadre de la poursuite et de la répression d'infractions pénales, sont déterminées, explicites et légitimes au sens du 2° de l'article 4 de la loi du 6 janvier 1978. Le moyen tiré d'une méconnaissance de ces dispositions ne peut dès lors qu'être écarté.

En ce qui concerne les données susceptibles d'être enregistrées :

6. Aux termes du dernier alinéa de l'article R. 249-11 inséré dans le code de procédure pénale par l'article 1er du décret attaqué : " Le traitement peut enregistrer des données à caractère personnel de la nature de celles mentionnées à l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans la stricte mesure où ces données sont nécessaires à la poursuite des finalités définies à l'article R. 249-9 ". Les requérants soutiennent que cette disposition relative à des données sensibles, par son imprécision, est entachée d'incompétence négative et porte une atteinte excessive à la protection de la vie privée et à la protection des données personnelles.

7. Aux termes de l'article 6 de la loi du 6 janvier 1978: " I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. (...) / IV. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et soit autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26, soit déclarés dans les conditions prévues au V de l'article 22. ". L'article 88 de cette même loi, applicable au traitement litigieux, précise que : " Le traitement de données mentionnées au I de l'article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s'il est autorisé par une disposition législative ou réglementaire, soit s'il vise à protéger les intérêts vitaux d'une personne physique, soit s'il porte sur des données manifestement rendues publiques par la personne concernée ".

8. Si le décret attaqué ne fixe pas la liste des données sensibles susceptibles d'être collectées dans le traitement, ni ne renvoie à l'exigence de " nécessité absolue " du traitement des données mentionnées au I de l'article 6 de la loi du 6 janvier 1978, au sens de l'article 88 de la même loi, ces seules circonstances sont sans incidence sur la légalité du traitement, au vu de ses finalités rappelées au point 5 et de son objet, qui est limité au cadre de la procédure pénale et contraint par les règles strictes propres à cette procédure. L'autorisation d'enregistrement de données personnelles à caractère sensible présente ainsi des garanties appropriées au sens de l'article 88 de la loi du 6 janvier 1978 et ne méconnaît pas par elle-même les exigences posées par cette loi au titre du droit au respect de la vie privée et du droit à la protection des données personnelles.

En ce qui concerne l'accès au traitement :

9. L'article R. 249-13 inséré dans le code de procédure pénale par l'article 1er du décret attaqué dispose, d'une part, que peuvent accéder aux informations enregistrées dans le traitement prévu à l'article R. 249-9 : " I. 1° Les magistrats du siège et du parquet exerçant dans l'ensemble des juridictions, de première instance, d'appel et de cassation pour les nécessités liées au seul traitement des infractions ou des procédures dont ils sont saisis ainsi que les auditeurs de justice pour le seul accomplissement des missions qui leur sont confiées ; 2° Les agents de greffe et les personnes habilitées, en vertu de l'article R. 123-14 du code de l'organisation judiciaire, ainsi que, pour le seul accomplissement des missions qui leur sont confiées, les juristes assistants mentionnés à l'article L. 123-4 de ce même code et les assistants de justice mentionnés à l'article 20 de la loi n° 95-125 du 8 février 1995 relative à l'organisation des juridictions et à la procédure civile, pénale et administrative, qui assistent les magistrats mentionnés au 1° ; 3° Les délégués du procureur de la République institués à l'article R. 15-33-30 du présent code, pour l'accomplissement des missions qui leur sont confiées par l'autorité judiciaire au titre des articles 41-1 à 41-2 ; 4° Les assistants spécialisés mentionnés aux articles 628-9 et 706 du présent code, pour l'exercice des seules missions qui leur sont confiées ; 5° Les avocats, pour les seuls besoins des procédures dont ils ont la charge et à l'unique fin de consultation desdites procédures ". D'autre part, peuvent être destinataires des informations enregistrées dans le traitement : " II. 1° Dans le cadre de l'accès au dossier de procédure et aux minutes, dans le respect des dispositions du présent code : les personnes concourant à la procédure au sens de l'article 11, les avocats, les parties ; 2° Concernant le dossier unique de personnalité, les avocats du mineur, de ses père et mère, tuteur ou représentant légal et de la partie civile, les professionnels de la protection judiciaire de la jeunesse, les personnels du service ou de l'établissement du secteur associatif habilité, dans les conditions prévues par l'article 5-2 de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante ; 3° Toute administration, établissement, autorité, ou personne publique ou privée, autorisé en vertu de dispositions législative ou réglementaire spécifiques, à se voir communiquer tout ou partie d'un dossier pénal ou d'une décision ". Les requérants soutiennent que ces dispositions, par leur imprécision, sont entachées d'incompétence négative et portent une atteinte disproportionnée à la protection de la vie privée et des données personnelles.

10. Eu égard, en premier lieu, aux finalités rappelées au point 5, en deuxième lieu, à la distinction des différentes catégories de personnes ayant accès ou pouvant être destinataires de données enregistrées dans le traitement dans la stricte limite de leurs attributions respectives et enfin, en troisième lieu, à la circonstance que la communication de tout ou partie d'un dossier pénal ou d'une décision aux personnes qui peuvent être destinataires de telles données est subordonnée au respect des règles propres à la procédure pénale prévues par des dispositions législatives ou réglementaires spécifiques, le moyen tiré de l'illégalité de l'article 1er du décret attaqué introduisant l'article R. 249-13 dans le code de procédure pénale doit être écarté.

En ce qui concerne l'insuffisance des mesures de sécurisation et d'exactitude des données collectées :

11. En premier lieu, l'article 121 de la loi du 6 janvier 1978 dispose : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, qui imposent au responsable d'un traitement de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, sont sans incidence sur la légalité de l'acte par lequel le traitement est autorisé. Par suite, le moyen tiré de l'insuffisante sécurisation des données et informations collectées dans le traitement " Dossier pénal numérique " ne peut qu'être écarté.

12. En second lieu et en tout état de cause, le moyen tiré de l'absence de mesures visant à assurer l'exactitude et la mise à jour des données n'est pas assorti des précisions suffisantes pour en apprécier le bien-fondé et ne peut par suite qu'être écarté.

En ce qui concerne l'obligation de transparence du traitement :

13. Il résulte de l'article R. 249-14 inséré dans le code de procédure pénale par l'article 1er du décret attaqué, que l'accès aux données et les conditions de leur rectification ou de leur effacement sont régis par les dispositions du code de procédure pénale, conformément aux dispositions de l'article 111 de la loi du 6 janvier 1978. Le moyen tiré de l'absence de transparence du traitement et du caractère insuffisamment précis des modalités d'exercice de leurs droits par les personnes concernées ne peut dès lors qu'être écarté.

14. Il résulte de tout ce qui précède que le traitement " Dossier pénal numérique ", qui poursuit une finalité légitime et prévoit une collecte et un traitement des données effectuées de manière adéquate et proportionnée au regard de ces finalités, ne porte pas une atteinte disproportionnée et injustifiée à la protection de la vie privée et à la protection des données personnelles.

15. Les associations Mousse, Stop Homophobie, Adheos et Familles A... ne sont en conséquence pas fondées à demander l'annulation pour excès de pouvoir du décret attaqué. Dès lors, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, leurs conclusions doivent être rejetées, en ce compris celles présentées au titre de l'article L. 761-1 du code de justice administrative.



D E C I D E :
----------------

Article 1er : La requête des associations Mousse, Stop Homophobie, Adheos et Familles A... est rejetée.
Article 2 : La présente décision sera notifiée aux associations Mousse, Stop Homophobie, Adheos et Familles A..., au Premier ministre, au ministre de l'intérieur et au garde des sceaux, ministre de la justice. Copie en sera adressée à la Commission nationale de l'informatique et des libertés et à la Défenseure des droits.